Зачем мне SSL-сертификат?

Question

У меня короткий вопрос: зачем мне SSL-сертификат (я имею в виду только сертификат, а не SSL-соединение)?

В моем случае Google Chrome обнаружил, что соединение зашифровано и безопасно, но все отображается красным, потому что я сам создал сертификат. Зачем мне SSL-сертификат, если соединение защищено?

Answer 1

Самостоятельно созданный или самоподписанный сертификат не является доверенным для всех браузеров. Как мы знаем, в настоящее время все браузеры более строгие в отношении безопасности. Давайте сразу проясним что-то, браузеры не доверяют вам. Период. Это может показаться грубым, но это просто факт, работа браузеров заключается в том, чтобы работать в Интернете, защищая своих пользователей, и это требует от них скептического отношения ко всем или ко всему.

Однако браузеры доверяют небольшому набору признанных центров сертификации. Это связано с тем, что эти ЦС следуют определенным рекомендациям и предоставляют определенную информацию постоянным партнерам браузеров Есть даже форум, называемый форумом CA / B, где CA и браузеры встречаются, чтобы обсудить базовые требования и новые правила, которые должны соблюдаться всеми CA, чтобы продолжать распознаваться.

Оно строго регламентировано.

И вы не являетесь частью форума CA / B.

Лучшим вариантом является получение сертификата SSL от доверенного центра сертификации.

Вот что вам нужно знать о самоподписанном сертификате SSL

Answer 2

То, что трафик на 192.168.xxx.xxx не выходит за пределы вашей сети, не означает, что он безопасен.

Особенно, если у вас есть BYODы, подключенные к сети (и даже если нет, вы не хотите быть жесткой оболочкой с сочным интерьером ), кто-то может принести скомпрометированный ноутбук или телефон, подключить это в сеть, и вирус может перехватить все, что происходит в сети (см. firesheep ).

Таким образом, вы должны предположить, что сеть является вредоносной, - относитесь к вашей локальной сети так, как если бы это был Интернет.

Так что теперь вопрос возвращается - почему я не могу полагаться на самозаверяющий сертификат (как в локальной сети, так и в Интернете)?

Ну, а от чего вы защищаетесь? TLS (SSL) защищает от двух вещей:

1. Перехват - даже если я MITM вас (я становлюсь вашим маршрутизатором), я не могу прочитать то, что вы отправляете и получаете (поэтому я не могу прочитать номера вашей кредитной карты или пароль)

2. Спуфинг - я не могу ввести код между вами и сервером.

Так как это работает?

Я подключаюсь к серверу и получаю сертификат, подписанный центром сертификации. Этот ЦС считается доверенным браузером (им нужно пройти все виды аудитов, чтобы получить это доверие, и они будут выселены, если сломают его). Они подтверждают, что вы контролируете сервер, а затем подписываете свой открытый ключ.

Поэтому, когда клиент получает подписанный открытый ключ от сервера, он знает, что собирается зашифровать сообщение, которое может расшифровать только целевой сервер, поскольку MITM не сможет заменить свой собственный открытый ключ для сервера ( его открытый ключ не был бы подписан ЦС).

Теперь вы можете безопасно общаться с сервером.

Что произойдет, если браузер примет любой сертификат SSL (самоподписанный)?

Помните, как браузер может отличить официальный сертификат от поддельного сертификата MITM? Будучи подписанным CA. Если ЦС нет, браузер практически не может узнать, общается ли он с официальным сервером или MITM.

Так что самоподписанные сертификаты - это большое нет-нет.

То, что вы можете сделать, это то, что вы можете сгенерировать сертификат и сделать его "корневым" сертификатом (практически, запустите собственный CA для своих внутренних компьютеров). Затем вы можете загрузить его в свое хранилище CA браузеров, и вы сможете общаться через SSL без необходимости проходить через что-то вроде letsencrypt (кстати, именно так работают инструменты мониторинга сети предприятия).

Answer 3

В криптографии, центр сертификации или центр сертификации (CA) является организацией, которая выдает цифровые сертификаты. Цифровой Сертификат удостоверяет владение открытым ключом предмет сертификата. Это позволяет другим (доверяющим сторонам) полагаться на подписи или утверждения о секретном ключе, соответствует сертифицированному публичному ключу. CA действует как доверенный третий сторона - доверенная как субъектом (владельцем) сертификата, так и сторона, опирающаяся на сертификат. Формат этих сертификаты указаны стандартом X.509.

(из https://en.wikipedia.org/wiki/Certificate_authority)

Вы не являетесь доверенным центром сертификации. По сути, если вы подписываете свой собственный сертификат, то никто не сможет подтвердить, что сервер действительно такой, какой он есть. Если у вас есть действительное доверенное стороннее поручительство для вас, тогда сертификат будет «действительным».

Наличие самозаверяющего сертификата не обязательно означает, что веб-сайт опасен, просто идентификация сервера не может быть проверена и, следовательно, это более рискованно для вистора.